Tiêu chuẩn đảm bảo an toàn trong giao dịch điện tử và thanh toán trong giao dịch Ngân hàng (Phần 4)
3D Secure 2.0 – Cải thiện đáp ứng SCA trong PSD2
Với Chỉ thị Dịch vụ Thanh toán Điện tử sửa đổi PSD2, các giao dịch điện tử trong lãnh thổ Châu Âu phải Xác thực Định danh Tăng cường SCA cho giao dịch thanh toán điện tử giá trị trên 30EUR hoặc thanh toán không tiếp xúc (Contactless Payment) giá trị trên 50EUR. Để đạt được yêu cầu trên, SCA yêu cầu xác thực giao dịch dựa trên hai trong ba yếu tố:
Điều khách hàng biết “Something you know” | Điều khách hàng có “Something you own” | Điều khách hàng sở hữu riêng “Something you are” |
· Mật khẩu · Mã pin · Câu hỏi bí mật · Dãy số | · Điện thoại · Thẻ thông minh Smartcard · Token · Thiết bị thông minh | · Vân tay · Mống mắt · Khuôn mặt · Giọng nói |
Trước đây, xác thực định danh tăng cường SCA được đáp ứng thông qua giải pháp 3D Secure 1.0 được phát triển bởi Công ty Arcot Systems. Thuật ngữ “3D” trong 3D Secure nhắc tới ba “lĩnh vực” (Domain) hợp tác với nhau trong thanh toán giao dịch thẻ, đó là:
– Lĩnh vực thuộc Ngân hàng cung cấp tài khoản giao dịch cho người dùng (user)
– Lĩnh vực thuộc Ngân hàng cung cấp tài khoản cho thương nhân (merchant)
– Lĩnh vực thuộc Nhà phát hành thẻ (card issuer: Visa, American Express, Mastercard…)
Được biết đến với tên gọi “Verified by Visa”, “Mastercard SecureCode” hoặc “American Express Safekey”, 3D Secure 1.0 thực hiện xác thực giao dịch bằng cách chuyển hướng người dùng đến trang bảo mật yêu cầu cung cấp thông tin bổ sung dưới dạng Mật khẩu hoặc Câu hỏi bí mật. Khi người dùng xác minh thành công, giao dịch mới được chấp nhận bởi ngân hàng.
“Thông qua 3D Secure 1.0, nhà phát hành thẻ xác thực mật khẩu- “Điều khách hàng biết” và kết hợp với dữ liệu thẻ – “Điều khách hàng có”, đáp ứng yêu cầu hai trong ba yếu tố cấu thành SCA.”
Tuy nhiên, 3D Secure 1.0 có những hạn chế nhất định, đặc biệt đối với trải nghiệm người dùng: mật khẩu/câu hỏi bí mật dễ bị nhầm lẫn, chuyển hướng người dùng gây gián đoạn quá trình thanh toán, tăng thời gian cần thiết để nạp trang mới, và chỉ hỗ trợ trên trình duyệt (không thể nạp trong Mobile App). Mặc dù 3D Secure 1.0 tăng cường bảo mật, lớp xác thực bổ sung này cũng gia tăng sự bất tiện, chưa theo kịp công nghệ nền tảng Mobile App. Theo số liệu của nhà phát hành thẻ Visa, 70% người dùng sẽ hủy giao dịch nếu quy trình thanh toán quá mất thời gian.
Trang bảo mật thường thấy trên 3D Secure 1.0, yêu cầu nhập mật khẩu từ người dùng
3D Secure 2.0 – Tăng cường bảo mật, trải nghiệm người dùng & hỗ trợ Mobile App
Với nhiệm vụ kế thừa tính năng bảo mật của 3D Secure 1.0, phiên bản 3D Secure 2.0 thu thập hơn 100 đầu dữ liệu, bao gồm lịch sử thanh toán, địa chỉ IP, địa chỉ thanh toán, mã số thiết bị… để tính toán rủi ro trong xác thực của một giao dịch điện tử (Risk-based Authentication). Trong trường hợp nhà phát hành thẻ cho rằng dữ liệu đủ để xác minh giao dịch là an toàn, người dùng sẽ không gặp trở ngại và thanh toán được chấp nhận ngay lập tức. Ngược lại, nếu nhà phát hành thẻ nghi ngờ giao dịch, người dùng sẽ phải nhập Mật khẩu/Câu hỏi bí mật tương tự 3D Secure 1.0. Theo số liệu thống kê lịch sử giao dịch từ Mastercard, 90% các giao dịch khi chuyển sang 3D Secure 2.0 sẽ không bị gián đoạn (frictionless), đem lại tiện lợi cho đa số người dùng trong khi đảm bảo yêu cầu bảo mật xác thực SCA. Ngoài ra theo thời gian, tính chính xác của 3D Secure 2.0 sẽ ngày càng được cải thiện nhờ lượng dữ liệu thu thập tăng lên nhanh chóng.
Sơ đồ quy trình 3D Secure 2.0
So với 3D Secure 1.0, phiên bản 2.0 của công nghệ xác thực giao dịch mang tới nhiều ưu điểm vượt trội về công nghệ và trải nghiệm người dùng:
- Hỗ trợ tích hợp Mobile App, cho phép xác thực giao dịch an toàn ngay trong App mà không bị chuyển hướng.
- Trường hợp giao dịch cần thêm thông tin để xác thực như trong 3D Secure 1.0, cho phép tích hợp xác minh tăng cường ngay trong App không cần chuyển hướng sang trình duyệt.
- Cho phép ủy thác quản lý rủi ro giao dịch từ bên doanh nghiệp sang nhà phát hành thẻ (Visa, Mastercard…) hoặc tự quản lý rủi ro bằng cách tắt 3D Secure 2.0.
- Cho phép bên bán sử dụng logo, thương hiệu trong quy trình thanh toán thay vì thương hiệu của bên phát hành thẻ.
- Cho phép thu thập nhiều dữ liệu (hơn 100 đầu mục) để phục vụ quy trình Phân tích Rủi ro trong Thanh toán (Transaction Risk Analyst – TRA) với hiệu suất vượt trội so với 3D Secure 1.0.
- Lộ trình 3D Secure 2.0: áp dụng toàn cầu vào 2020
Tháng 4 năm 2019: hai nhà phát hành thẻ lớn nhất thế giới là Visa và Mastercard hối thúc các ngân hàng Châu Âu sẵn sàng cho PSD2 và 3D Secure 2.0. Từ thời điểm tháng 4 năm 2019, nếu một ngân hàng Châu Âu không thể đáp ứng 3D Secure 2.0, ngân hàng đó sẽ phải chịu toàn bộ trách nhiệm rủi ro phát sinh trong giao dịch thay vì doanh nghiệp.
Ngày 14 tháng 9 năm 2019: yêu cầu xác thực tăng cường SCA trong PSD2 chính thức áp dụng tại Châu Âu. Bất cứ doanh nghiệp nào thực hiện thanh toán điện tử phải đáp ứng 3D Secure 2.0 để đạt tiêu chuẩn SCA.
Từ năm 2020: áp dụng 3D Secure 2.0 trên toàn thế giới, các ngân hàng lớn sẽ áp dụng 3D Secure 2.0 và dần loại bỏ 3D Secure 1.0